Ce n'est pas Santa, mais Santy : tel est le nom du dernier ver remarqué sur Internet, dont le code malicieux infecte certains sites web en exploitant une faille dans phpBB, très largement utilisé...

Ce n'est pas Santa, mais Santy : tel est le nom du dernier ver remarqué sur Internet, dont le code malicieux infecte certains sites web en exploitant une faille dans phpBB, très largement utilisé pour créer des forums Internet. Santy.a se propage rapidement et a provoqué une épidémie (à ce jour, on estime que Santa a touché plus de 40.000 sites). Les utilisateurs finaux ne sont pas touchés puisque si ce ver infecte les sites web, il ne contamine pas les ordinateurs des utilisateurs qui s’y connectent.

Le spécialiste en sécurité informatique Kaspersky Lab a publié un avertissement dans lequel il explique que Santy.a utilise une nouvelle méthode de propagation. Il formule une requête spécifique sur le moteur de recherche Google. Cette recherche aboutit à l’obtention d’une liste de sites fonctionnant sous phpBB. Le ver envoie sur les sites sélectionnés une requête qui va provoquer la vulnérabilité sur ces sites. Une fois que le serveur attaqué répond à la requête, le ver s’infiltre dans le site en prenant le contrôle du code source.

Une fois le site sous contrôle, « Net-Worm.Perl.Santy.a » scanne tous les répertoires du site infecté. Tous les fichiers .htm, .php, .asp, .shtm, .jsp, .phtm trouvés seront subtilisés et réécrits avec le texte suivant : «This site is defaced!!!" (En français : "Ce site a été défiguré", ndlr).

Seulement, Santy a trouvé un adversaire de poids qui l'empêche depuis hier de continuer sa progression fulgurante : celui-ci n'est autre que Google, qui a bloqué toutes les requêtes lancées par Santy sur son moteur de recherche.

(Atelier groupe BNP Paribas - 23/12/2004)